[kenjutsu]

J'en avais parlé dans un autre topic, j'ai développé hier soir un mini jeux rapide qui servira de cobaye. (les sources seront dispo)

Le but sera de rendre le jeu le plus sécurisé possible contre la triche, sans pour autant passer par une solution de cryptage de source (payante..), donc considérer que le fla soi en libre accès.

Dans le but de partager totalement, on essayera aussi de rester le plus discret possible sur les techniques de triche (style balancer des noms de logiciels)

Pour commencer, on peut déjà discuter des meilleurs solutions de stockage des scores (xml, BD, etc..)
Donc ceux qui souhaitent partager tips où autre, c'est ici.


Le jeux en question:
secu_flash/' class='bbc_url' title='Lien externe' rel='nofollow external'>http://kenjtb.free.fr/secu_flash/

Une fois le projet aboutis, je posterai un article détaillé sur http://gamedev.media-box.net/



PS: je pense avoir posté ou il fallait

Ce message a été modifié par chipaldance : 15 September 2006 - 05:47 PM

[guepard]

Génial !

En plus il est super sympa ton jeu Ken !

Pour le stockage des points, je suis partisan d'utiliser une DB MySQL.

[kenjutsu]

Oui, Idem, je pense partir sur une DB aussi.

La je receuille pas mal d'info sur tout ce qui pourrai être interressant au niveau du javascript et de camouflage de code. (oui car javascript est lié avec flash dans les deux sens)

Ce message a été modifié par kenjutsu : 07 September 2006 - 04:27 PM

[nicoptere]

yippie !
il est tout mignon en plus le jeu.

Pour le stockage des points, je suis partisan d'utiliser une DB MySQL.

oui, parce que c'est ce que tout le monde fait d'habitude.

Parcontre, si une solution est trouvee, ben... il faudra surtout ne pas la decrire parce que sinon, apres,l tout le monde la connaitra.

[guepard]

Parcontre, si une solution est trouvee, ben... il faudra surtout ne pas la decrire parce que sinon, apres,l tout le monde la connaitra.

C'est la meilleure de savoir comment sécuriser ses swf, non ?

[kenjutsu]

Hey oui nicoptere, c'est le but premier de partager les solutions efficace.

Par contre oui, on ne parle d'aucun logiciel, le forum n'est pas la pour ca.

Ce message a été modifié par kenjutsu : 07 September 2006 - 04:36 PM

[nicoptere]

-fuckerie d'edition de messages tiens -

C'est la meilleure de savoir comment sécuriser ses swf, non ?

ben oui mais si qqun trouve un truc infaillible (ahahah) , je comprendrai qu'il le garde...
techniquement le meilleur moyen de proteger qqch c'est d'etre seul a savoir comment ca marche... une technique beton et inconnue... non?
maintenant c'est pas le but du topic et si on peut faire une revue des differents moyens de proteger pirater c'est cool
j'essayais d'editer...

[kenjutsu]

Bah étant donné que le but du projet est justement de trouver/proposer des solutions infaillibles, ton message n'a rien a faire ici

Sans prétendre a une solution universel, on pourra au pire donner quelques pistes "pour les nuls".

Ce message a été modifié par kenjutsu : 07 September 2006 - 04:45 PM

[matt-murdock]

...

apres avoir fait pas mal de recherche a ce sujet, une solution bdd+php et la moins adapter a etre protejé ...

une connection socket en temp reel avec passage de variables temoins etc , semble mieux adapté ( mais pas infailleble non plus...)


quelques mots clefs

- variable de session
- variable temoins
- serveur dedie si possible
- classe externe
- faire un maximum sur le serveur
- timestamp
-

bon courrage

je suis ( tres) currieux du resultat et je vous suis de pres...

a+

[kenjutsu]

Merci pour les infos

En parlant de socket, un peu de lecture

securite' class='bbc_url' title='Lien externe' rel='nofollow external'>http://www.tweenpix....ash-et-securite (solution de securité adapté qu'au jeux multiuser socket et très complexe..)
D'ailleur je doute que tout le monde puisse se permettre ce genre de technologie (prix du serveur dedié, etc..)

Ici on part sur une base de jeux solo tel est le défi


security.htm' class='bbc_url' title='Lien externe' rel='nofollow external'>http://www.gamasutra...07/security.htm (inscription obligatoire mais très interressant)

[kenjutsu]

J'aimerai savoir ce que vous penssez de cet Obfuscateur gratuit:

http://www.kindisoft.../downloads.aspx

[nicoptere]

bon,
désolé, je tiens vraiment a ce que mon attitude ne soit pas ambigue:
si mes maigres moyens me permettent de faire sauter des protections, j'expliquerai comment j'ai fait et je le ferai partager à tous ceux que ça pourra intéresser.
si on arrive à faire une protection valable qui profite au plus grand nombre, ben c'est génial et même si on apprend seulement comment déjouer les ruses grossières des gens comme moi, c'est un bon début.
voila c'est dit j'arrête avec ça.

l'obfuscateur est transparent, j'ai encodé avec les paramètres de base, puis réencodé un fichier encodé, le décompileur remet tout à sa place... déprimant.

[kenjutsu]

si mes maigres moyens me permettent de faire sauter des protections, j'expliquerai comment j'ai fait et je le ferai partager à tous ceux que ça pourra intéresser.

Nen je ne t'ai pas demandé cela, en tous cas pas ICI stp merci.
Moi aussi j'ai un peu d'aquis sur les contournements de protections, car forcement on est obliger de mettre la main dans le cambouis si on veut comprendre, mais c'est pas pour ca que je vais énoncer ici chaque méthode dans le détail.

On peux très bien informer les risques en survolant de manière clair sans pour autant ressortir avec quel logiciel etc, et on s'en fou un peu d'ailleurs.

Exemple, on parlera de technique d'augmentation de FPS sans allez plus loin, juste pour énoncer la faille.

Et puis on peut très bien par MP, si c'est delicat..


Ok pour l'obfuscateur xD

Ce message a été modifié par kenjutsu : 07 September 2006 - 08:12 PM

[kenjutsu]

Je m'adresse quand même aux modos, est ce que ce sujet peut tenir la route sur le forum, ou nous sommes condamné à du chacun pour soi ?

Ce message a été modifié par kenjutsu : 07 September 2006 - 08:35 PM

[pol95]

bonjour, je ne suis pas un spécialiste en sécurité mais existe-il un moyen avec php pour connaître l'url de la page qui envoie les variables ?

[retro]

salut,

j'utilise une technique très simple pour empêcher la triche aux scores: quand le score est sauvegardé je passe par une redirection d'url, ça permet côté PHP de regarder la variable $HTTP_REFERER et d'interdire toute requête qui ne vient pas du domaine.

on est ensuite redirigé vers un tableau de scores en html / php, (qui a en plus l'avantage de pouvoir être utilisé par tous les jeux du site du fait qu'il est sur une page séparée du jeu)


Pour que la variable referer soit bien reçue par php il faut éviter de l'envoyer depuis flash je passe donc par une fonction javascript qui fait passer les variables dans un formulaire html invisible qui est aussitôt envoyé en POST.

Enfin du moins c'était vrai avec flash 7, et avec flash 8 sur certains navigateurs, peut être que flash player 9 envoie bien les referer partout il faudrait faire des tests. Dans ce cas il suffira d'envoyer la requete POST depuis flash player.





Enfin bon bref pour résumer, la sécurité se fait en regardant la variable $HTTP_REFERER côté PHP.

Ce message a été modifié par retro : 07 September 2006 - 09:53 PM

[kenjutsu]

Merci, je test et on se basera sur ce principe pour l'enregistrement du score.

Sayf que j'ai déjà detourné un swf qui utilisait la méthode $HTTP_REFERER, etant donné que l'on accede dans le flash a la variable censé obtenir l'URL par getURL("java script:etc...)

Donc je sait pas.


Sinon j'ai une question, est-il possible d'interagir directement en hexa sur une variables d'un swf ? (il me semble qu'elle change sans cesse d'adresse)

Ce message a été modifié par kenjutsu : 07 September 2006 - 10:01 PM

[retro]

Php

 
//on contrôle que le score provient bien d'une page hébergée sur le même domaine
//afin d'empêcher la triche:
 
$ref=getenv('HTTP_REFERER');
$tref=split("/",$ref);
if($tref[2]==getenv('HTTP_HOST')){
 
	//mettre ici la sauvegarde en base
	
		//redirection vers page scores
	header("location:url du tableau de scores");
	
}else{
	echo "Votre navigateur a envoyé un referer vide. Le serveur ne peut pas valider votre score.";
}
 

Ce message a été modifié par retro : 07 September 2006 - 10:08 PM

[kenjutsu]

Edit:

Pour que la variable referer soit bien reçue par php il faut éviter de l'envoyer depuis flash je passe donc par une fonction javascript qui fait passer les variables dans un formulaire html invisible qui est aussitôt envoyé en POST.

je viens de comprendre enorme ca !

Ce message a été modifié par kenjutsu : 07 September 2006 - 10:07 PM

[retro]

oué mais faudrait d'abord vérifier que le probleme a pas été résolu avec flash 9

[kenjutsu]

Même si flash 9 resoud le problème, il faut continuer avec ta technique de formulaire invisible et ne rien renvoyer a flash, car suffi de modifier le code (style mettre ref = "http://www.le_bon_domaine.com") et le score se valide en local.

Ce message a été modifié par kenjutsu : 07 September 2006 - 11:16 PM

[dizi]

une fois que tu auras trouver une solution, même si elle n'est pas imparable, on dvra tous essayer de la casser,
je propose d'enregistrer un score type.

par exemple si on arrive a enregistrer trois série de trois chiffre identique, c'est que la méthode est piraté.


par rapport au referer, opéra permet de ne pas l'envoyer, ce qui veut dire qu'avec cette méthode on perd des clients

on perd ceux qui non pas javascript
ceux qui non pas flash évidament
et ceux qui on masquer leur referer

N'oublions pas que l'internaute est libre.

[kenjutsu]

par exemple si on arrive a enregistrer trois série de trois chiffre identique, c'est que la méthode est piraté.

Ca marche, ou alors un bon 99999 ^^


Sinon faut que je lise des truc sur le ref, je monte tout ca et a vous de craquer.

[liguorien]

j'utilise une technique très simple pour empêcher la triche aux scores: quand le score est sauvegardé je passe par une redirection d'url, ça permet côté PHP de regarder la variable $HTTP_REFERER et d'interdire toute requête qui ne vient pas du domaine.

merci de m'avoir dit comment tricher pour tes jeux


c'est assez simple de faire une requête HTTP qui envoie le referer de son choix.

[kenjutsu]

On peut peut-être coupler avec location.href ?

[retro]

Liquorien> tu me montres comment on fait?

[liguorien]

il suffit de mettre le bon header dans la requête http comme le font firefox, IE ou le flash player, etc...

en java par exemple :

CODE

URL scriptUrl = new URL("http://www.serge.com/lejeuquitue/score.php");

HttpURLConnection conn = (HttpURLConnection) scriptUrl.openConnection();
conn.addRequestProperty("referer", "http://www.serge.com/lejeuquitue/game.swf");  // c'est ici que ça se passe
conn.setDoOutput(true);

PrintWriter output = new PrintWriter(conn.getOutputStream());
output.print("score=312391231239213012391238120391283");
output.close();

Scanner input = new Scanner(conn.getInputStream());
while(input.hasNextLine()) input.nextLine();
input.close();

[liguorien]

mais bon, je ne dis quand même pas de ne pas utiliser cette technique. c'est souvent le rassemblement de plein de petits trucs qui décourage le gens à continuer

[kenjutsu]

Voila, c'est un peu ca le topic, rassembler le plus de technique.

[kenjutsu]

Petite mise a jour, les scores de valident et nouvelle interface ^^
Encore aucune protection, je verrai dans la journée.

A vous de tricher ^^ c'est simple pour l'instant.
Merci